Kako umetna inteligenca zazna anomalije?

Kako umetna inteligenca zazna anomalije?

Zaznavanje anomalij je tihi junak podatkovnih operacij – detektor dima, ki šepeta, preden se kaj vname.

Preprosto povedano: umetna inteligenca se nauči, kako izgleda »približno normalno«, novim dogodkom dodeli oceno anomalije in se nato na podlagi praga . Hudič se skriva v tem, kako definirate »približno normalno«, ko so vaši podatki sezonski, neurejeni, spremenljivi in ​​vas občasno lažejo. [1]

Članki, ki jih boste morda želeli prebrati po tem:

🔗 Zakaj je lahko umetna inteligenca škodljiva za družbo
Preučuje etična, ekonomska in družbena tveganja širokega sprejetja umetne inteligence.

🔗 Koliko vode dejansko porabijo sistemi umetne inteligence.
Pojasnjuje hlajenje podatkovnih centrov, zahteve glede usposabljanja in vpliv vode na okolje.

🔗 Kaj je nabor podatkov umetne inteligence in zakaj je pomemben.
Definira nabore podatkov, označevanje, vire in njihovo vlogo pri delovanju modela.

🔗 Kako umetna inteligenca napoveduje trende iz kompleksnih podatkov
Zajema prepoznavanje vzorcev, modele strojnega učenja in uporabo napovedovanja v resničnem svetu.

"Kako umetna inteligenca zazna anomalije?" 

Dober odgovor bi moral narediti več kot le našteti algoritme. Pojasniti bi moral mehaniko in kako izgleda, ko jo uporabimo na resničnih, nepopolnih podatkih. Najboljše razlage:

  • Prikažite osnovne sestavine: značilnosti , izhodišča , rezultate in pragove . [1]

  • Kontrastne praktične družine: razdalja, gostota, en razred, izolacija, verjetnost, rekonstrukcija. [1]

  • Obravnavajte posebnosti časovnih vrst: »normalno« je odvisno od časa dneva, dneva v tednu, izdaj in praznikov. [1]

  • Z ocenjevanjem ravnajte kot z resnično omejitvijo: lažni alarmi niso le nadležni – porabljajo zaupanje. [4]

  • Vključite interpretabilnost + vključenost človeka v proces, ker »to je čudno« ni osnovni vzrok. [5]

Osnovni mehanizmi: izhodišča, rezultati, pragovi 🧠

Večina anomalnih sistemov – domiselnih ali ne – se zreducira na tri gibljive dele:

1) Reprezentacija (tj. kaj model vidi )

Surovi signali le redko zadostujejo. Ali načrtujete značilnosti (potezne statistike, razmerja, zamiki, sezonske delte) ali se naučite reprezentacij (vgrajevanja, podprostori, rekonstrukcije). [1]

2) Točkovanje (oz.: kako "čudno" je to?)

Pogoste ideje za točkovanje vključujejo:

  • Na podlagi razdalje : daleč od sosedov = sumljivo. [1]

  • Na podlagi gostote : nizka lokalna gostota = sumljivo (LOF je tipičen primer). [1]

  • Meje enega razreda : naučite se »normalnega«, označite, kaj je zunaj. [1]

  • Verjetnostno : majhna verjetnost pri prilagojenem modelu = sumljivo. [1]

  • Napaka pri rekonstrukciji : če modela, usposobljenega na normalnem načinu, ni mogoče obnoviti, je verjetno napačen. [1]

3) Prag (tj. kdaj pozvoniti)

Pragovi so lahko fiksni, kvantilni, na segment ali stroškovno občutljivi – vendar jih je treba umeriti glede na proračune za opozorila in stroške nadaljnjega poslovanja, ne pa glede na vibracije. [4]

Zelo praktična podrobnost: detektorji izstopajočih/novostnih vrednosti scikit-learn razkrijejo surove rezultate in nato uporabijo prag (pogosto nadzorovan s predpostavko o kontaminaciji), da pretvorijo rezultate v odločitve o izstopajočih vrednostih/novostnih vrednostih. [2]

Hitre definicije, ki preprečujejo bolečino kasneje 🧯

Dve razliki, ki vas rešita pred subtilnimi napakami:

  • Zaznavanje izstopajočih vrednosti : vaši učni podatki lahko že vključujejo izstopajoče vrednosti; algoritem vseeno poskuša modelirati »gosto normalno območje«.

  • Zaznavanje novosti : učni podatki se predpostavljajo kot čisti; presojate, ali nova opažanja ustrezajo naučenemu normalnemu vzorcu. [2]

Prav tako: zaznavanje novosti je pogosto opredeljeno kot klasifikacija enega razreda – modeliranje normalnega, ker so nenormalni primeri redki ali nedefinirani. [1]

 

Motenje zaradi anomalij umetne inteligence

Nenadzorovani delovni konji, ki jih boste dejansko uporabili 🧰

Ko so oznake redke (kar je v bistvu vedno), se v resničnih cevovodih pojavijo ta orodja:

  • Izolacijski gozd : močna privzeta nastavitev v mnogih tabelaričnih primerih, široko uporabljena v praksi in implementirana v scikit-learn. [2]

  • En-razredni SVM : je lahko učinkovit, vendar je občutljiv na uglaševanje in predpostavke; scikit-learn izrecno opozarja na potrebo po skrbnem uglaševanju hiperparametrov. [2]

  • Lokalni faktor izstopanja (LOF) : klasično točkovanje na podlagi gostote; odlično, kadar »normalno« ni gladka kapljica. [1]

Praktična rešitev, ki jo ekipe tedensko znova odkrivajo: LOF se obnaša različno, odvisno od tega, ali izvajate zaznavanje izstopajočih vrednosti na učnem naboru ali zaznavanje novosti na novih podatkih – scikit-learn celo zahteva novelty=True za varno doseganje nevidnih točk. [2]

Robustna osnova, ki deluje tudi, ko so podatki negotovi 🪓

Če ste v načinu "potrebujemo le nekaj, kar nas ne pahne v pozabo", so robustne statistike podcenjene.

Spremenjena z-vrednost uporablja mediano in MAD (mediana absolutnega odklona) za zmanjšanje občutljivosti na ekstremne vrednosti. Priročnik NIST EDA dokumentira spremenjeno obliko z-vrednosti in navaja pogosto uporabljeno pravilo "potencialnega izstopanja" pri absolutni vrednosti nad 3,5 . [3]

To ne bo rešilo vseh težav z anomalijami – je pa pogosto močna prva obrambna linija, zlasti za metrike z veliko hrupa in spremljanje v zgodnji fazi. [3]

Resničnost časovnih vrst: »Normalno« je odvisno od tega, kdaj ⏱️📈

Anomalije časovnih vrst so zapletene, ker je kontekst bistvo: lahko se pričakuje porast opoldne; enak porast ob 3. uri zjutraj lahko pomeni, da nekaj gori. Zato mnogi praktični sistemi modelirajo normalnost z uporabo časovno ozaveščenih značilnosti (zamik, sezonske delte, drseča okna) in ocenjujejo odstopanja glede na pričakovani vzorec. [1]

Če se spomnite samo enega pravila: segmentirajte svojo osnovno vrednost (ura/dan/regija/stopnja storitve), preden polovico prometa razglasite za »nenormalno«. [1]

Vrednotenje: Past redkih dogodkov 🧪

Zaznavanje anomalij je pogosto "iskanje igle v senu", zaradi česar je vrednotenje nenavadno:

  • ROC krivulje so lahko videti varljivo lepe, kadar so pozitivni rezultati redki.

  • Pogledi s precision-recall so pogosto bolj informativni za neuravnotežena okolja, ker se osredotočajo na uspešnost pozitivnega razreda. [4]

  • Operativno potrebujete tudi proračun za opozorila : koliko opozoril na uro lahko ljudje dejansko triažirajo, ne da bi se pri tem umirili? [4]

Testiranje za nazaj v različnih časovnih oknih vam pomaga odkriti klasičen način odpovedi: »deluje čudovito ... na porazdelitvi prejšnjega meseca.« [1]

Razumljivost in temeljni vzrok: Pokažite svoje delo 🪄

Opozoriti brez pojasnila je kot dobiti skrivnostno razglednico. Nekako uporabno, a frustrirajoče.

Orodja za interpretacijo lahko pomagajo tako, da pokažejo, katere značilnosti so najbolj prispevale k oceni anomalije, ali pa podajo razlage v slogu »kaj bi se moralo spremeniti, da bi to izgledalo normalno?«. Interpretable Machine Learning je trden, kritičen vodnik po običajnih metodah (vključno z atribucijami v slogu SHAP) in njihovih omejitvah. [5]

Cilj ni le udobje deležnikov – gre za hitrejšo triažo in manj ponavljajočih se incidentov.

Uvajanje, premik in povratne zanke 🚀

Modeli ne živijo v diapozitivih. Živijo v cevovodih.

Pogosta zgodba o »prvem mesecu v produkciji«: detektor večinoma označi uvedbe, paketna opravila in manjkajoče podatke ... kar je še vedno uporabno , ker vas sili, da ločite »incidente kakovosti podatkov« od »poslovnih anomalij«.

V praksi:

  • Spremljajte odklon in ponovno umerite/ponavljajte, ko se vedenje spremeni. [1]

  • V dnevnik vnesenih rezultatov + različica modela , da lahko reproducirate, zakaj je nekaj ostranjeno. [5]

  • Zajemanje človeških povratnih informacij (koristna v primerjavi s hrupnimi opozorili) za prilagajanje pragov in segmentov skozi čas. [4]

Varnostni kot: IDS in vedenjska analitika 🛡️

Varnostne ekipe pogosto združujejo ideje o anomalijah z odkrivanjem na podlagi pravil: izhodišča za »normalno vedenje gostitelja« ter podpise in politike za znane slabe vzorce. NIST-ov SP 800-94 (končna različica) ostaja pogosto citiran okvir za obravnavo sistemov za odkrivanje in preprečevanje vdorov; prav tako ugotavlja, da osnutek »Rev. 1« iz leta 2012 ni nikoli postal dokončen in je bil kasneje umaknjen. [3]

Prevod: uporabljajte strojno učenje, kjer vam pomaga, vendar ne zavrzite dolgočasnih pravil – dolgočasna so, ker delujejo.

Primerjalna tabela: Priljubljene metode na prvi pogled 📊

Orodje / Metoda Najboljše za Zakaj deluje (v praksi)
Robustni / modificirani z-vrednosti Preproste meritve, hitre izhodiščne vrednosti Močan prvi prehod, ko potrebujete »dovolj dobro« in manj lažnih alarmov. [3]
Izolacijski gozd Tabelarne, mešane funkcije Zanesljiva privzeta implementacija in široka uporaba v praksi. [2]
En razred SVM Kompaktna "normalna" območja Zaznavanje novosti na podlagi meja; uglaševanje je zelo pomembno. [2]
Lokalni faktor izstopanja Normale, podobne mnogoterosti Kontrast gostote v primerjavi s sosednjimi območji zaznava lokalno nenavadnost. [1]
Napaka pri rekonstrukciji (npr. v slogu avtokodirnika) Visokodimenzionalni vzorci Vadba poteka normalno; velike napake pri rekonstrukciji lahko kažejo na odstopanja. [1]

Goljufiva koda: začnite z robustnimi izhodišči + dolgočasno nenadzorovano metodo, nato pa dodajte kompleksnost le tam, kjer se izplača.

Mini priročnik: Od ničle do opozoril 🧭

  1. Operativno definirajte »čudno« (latenca, tveganje goljufij, izguba procesorja, tveganje zalog).

  2. Začnite z izhodiščem (robustna statistika ali segmentirani pragovi). [3]

  3. izberite en nenadzorovan model (izolacijski gozd / LOF / enorazredni SVM). [2]

  4. Določite pragove z opozorilnim proračunom in ocenite z razmišljanjem v slogu odnosov z javnostmi, če so pozitivni učinki redki. [4]

  5. Dodajte pojasnila + beleženje , da bo vsako opozorilo ponovljivo in ga bo mogoče odpraviti. [5]

  6. Preizkusi v preteklosti, pošlji, se uči, ponovno kalibriraj - premik je normalen. [1]

To lahko zagotovo narediš v enem tednu ... če predpostavimo, da tvojih časovnih žigov ne drži skupaj lepilni trak in upanje. 😅

Zadnje opombe - Predolgo, nisem prebral/a 🧾

Umetna inteligenca zazna anomalije tako, da se nauči praktične slike »normalnega«, ocenjuje odstopanja in označuje, kaj preseže prag. Najboljši sistemi ne zmagajo s tem, da so bleščeči, temveč s tem, da so kalibrirani : segmentirane osnovne vrednosti, proračuni za opozorila, interpretativni izhodi in povratna zanka, ki hrupne alarme spremeni v zaupanja vreden signal. [1]

Reference

  1. Pimentel in sod. (2014) - Pregled zaznavanja novosti (PDF, Univerza v Oxfordu) preberi več

  2. Dokumentacija scikit-learn - zaznavanje novosti in izstopajočih vrednosti preberi več

  3. NIST/SEMATECH e-priročnik - Zaznavanje izstopajočih vrednosti preberite več in NIST CSRC - SP 800-94 (končno): Vodnik po sistemih za zaznavanje in preprečevanje vdorov (IDPS) preberite več

  4. Saito & Rehmsmeier (2015) - Diagram natančnosti in priklica je pri ocenjevanju binarnih klasifikatorjev na neuravnoteženih naborih podatkov (PLOS ONE) . Preberi več

  5. Molnar - Interpretabilno strojno učenje (spletna knjiga) preberi več

Poiščite najnovejšo umetno inteligenco v uradni trgovini z umetno inteligenco

O nas

Nazaj na blog